信封加密存储秘钥

最新推荐文章于 2024-05-28 14:16:08 发布
最新推荐文章于 2024-05-28 14:16:08 发布
阅读量2.3k 收藏 1
点赞数 2
分类专栏: 分布式相关 文章标签: 加密 解密 秘钥保存 数据加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010511236/article/details/76273485
版权
众所周知,在业务使用的过程中我们往往需要使用秘钥进行安全验证,通常一个秘钥往往是一个合法身份的凭证,这里就如孙悟空和六耳猕猴一样,两个人都声称自己叫孙悟空,这个时候验证谁是真正悟空,往往需要让两个悟空回答一些只有真的悟空才能知道的答案,这个只有真的悟空才能回答出来的答案就等同于秘钥。
这里就会衍生出一个问题,秘钥如果泄漏了怎么办,如果只是单纯的使用秘钥作为身份验证,那么这里的确毫无办法,因此秘钥的安全性至关重要,下面将介绍秘钥保存方式。

信封加密
从服务的角度来说,很多情况下会使用到秘钥,如数据库密码,api key等,而往往通常的做法是直接讲这些密码或者api key直接写在配置文件里。这里如果配置文件泄漏后果是不堪设想的。
因此,往往提倡如果明文密码不落盘。这里通常会使用信封加密,主要原理为引入秘钥管理服务,使用数据秘钥(DEK)对数据进行加密,而使用主密钥(KEK)对DEK进行加密,并将DEK加密后的结果与DEK加密后的结果进行保存,解密时使用(KEK)对DEK的加密结果进行解密得到DEK,再使用DEK对数据进行解密,这里对DEK的加解密是在秘钥管理服务中完成,而秘钥管理服务保存KEK,并保证KEK不被泄漏,从而保证了DEK的安全性。
具体流程如下:


总结
1)加密服务验证调用方的身份合法性?
这里主要是通过IAM进行身份验证以及权限控制,通过身份凭证(如access key,access secret)进行身份验证,通过对资源的访问权限控制决定访问权利,身份凭证如何保持?这个似乎是个鸡和蛋的问题。

2)秘钥管理服务
目前秘钥管理服务各大公有云提供尝试都有相应的产品,不过如果想自己搭建的话也有一些开源的实现,如下:
https://github.com/hashicorp/vault



zhojhon
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
信封加密密钥管理实践
sinat_33155975的博客
06-14 532
信封加密原理 信封加密使用对称加密AES+非对称加密RSA两种实现,使用RSA加密AES算法的Key,并将Key与一并存储或传输,密文+加密的AES Key就形象比喻为信封信封加密用于加密大量数据的场景,由于RSA加密的长度不允许超过RSA Key长度(通常RSA Key长度为1024/2048/4096 bit),因此对于大文件加密的场景,如图片/视频/文本等,需要使用对称加密算法。对称加密算法的Key在网路或组织之间传输存在泄露风险,因此使用RSA非对称算法加密对称密钥的Key,可以保证Key的安全
数字信封加密技术(RSA和DES结合起来的算法)
sgl870927的专栏
03-13 1万+
数字信封加密技术(RSA和DES结合起来的算法)这种算法结合了DES和RSA两种算法的优点于一身原理为:!.发送者利用DES密钥对重要数据进行加密2.发送者利用RSA公钥对DES密钥进行加密3.传送消息4.接收者收到消息后,利用RSA私钥对经过加密的DES密钥进行解密5.接收者利用RSA密钥解密解得的DES密钥对重要数据进行解密 在此文中,先产生,本次模拟所要的
KMS信封加密
iloveaws的博客
05-26 1047
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们在前面的课程讨论了AWS KMS服务,以及实操演示了使用KMS生成的CMK客户主密钥进行加密解密的操作。 今天的课程内容信封加密,是KMS部分比较重要的内容。 我们开始今天的课程内容。 什么是信封加密? 我们先看下什么是信封加密信封加密是类似数字信封技术的
数字信封:保护数据传输的现代安全机制
最新发布
jiamisoft的博客
05-28 574
数字化时代,数据安全和隐私保护变得尤为重要。随着网络攻击和数据泄露事件的日益增多,传统的加密方法已经难以满足日益增长的安全需求。数字信封(Digital Envelope)作为一种有效的数据保护技术,提供了一种安全的数据传输和存储解决方案。本文将探讨数字信封的概念、工作原理以及其在现代数据保护中的应用。
信封加密
@毛宏斌
03-20 282
记录下信封加密解密的原理
数字信封加密
eyes++的博客
12-30 3799
OpenSSL 是目前 PHP 甚至是整个开发圈中的数据加密事实标准,包括 HTTPS/SSL 在内的加密都是它的实际应用, OpenSSL 提供了对称和非对称加密的形式,也就是我们日常中最普遍的两种加密方式。 那么,它和 Hash 类的加密有什么不同吗?Hash 类的加密是单向的不可逆转的加密加密后的内容是 16进制 的 Hash 串,我们只能通过彩虹表去反推明文内容,所以只要加上盐值或者多套两层加密,就非常难逆向破解出来了。因此,Hash 加密通常会用于用户的密码保存上,即使数据库泄露了用户密码也依然
基于python的数字信封,含加密解密功能.zip
11-04
基于python的数字信封,含加密解密功能.zip基于python的数字信封,含加密解密功能.zip基于python的数字信封,含加密解密功能.zip基于python的数字信封,含加密解密功能.zip基于python的数字信封,含加密和...
数字信封的混合加密系统-.drawio
07-03
数字信封是一种广泛应用于混合加密系统中的技术,它用于在传输过程中保护数据的机密性和完整性。下面是一个基本的数字信封混合加密系统的工作原理: 首先,使用称为非对称加密的公钥加密算法生成一对密钥:公钥和...
envelope-encryption-tools:轻量级加密工具包,支持信封加密方案
05-28
关于 轻量级加密工具包,用于支持信封加密方案。 它是为了在node.js中支持Amazon S3客户端加密而实现的,即它可以生成可以由实施客户端加密(Java,Ruby,Go)的AWS开发工具包解密的密文。 但是,实现本身是通用的。...
Python3+PyQt5实现文件加密数字信封功能的加密工具箱jmg.zip
03-01
使用QtDesigner设计界面,将UI界面与逻辑业务分离,使用sm4,aes等加密方式实现文件加密数字信封功能,此压缩包中包括1个界面UI文件,3个业务逻辑代码文件,1个入口代码文件,希望大家看过后有所收获。
实现数字信封的python程序
11-28
数字信封是一种在互联网上安全传输加密数据的技术,它结合了对称加密和非对称加密的优势,既能高效地加密大量数据,又能确保只有预期的接收者能够解密。在这个Python程序中,我们可能看到了一个实现这一技术的例子。...
基于数字证书的文件数字信封解密工具(支持RSA算法与SM2算法)
04-16
基于数字证书的文件数字信封解密工具(支持RSA算法与SM2算法)
本地证书实现数字信封解密demo-java
12-18
提供获取加密证书接口、数字信封加密以及数字信封解密接口源码,IDEA编译,测试数据符合标准openssl,测试的时候要注意证书和私钥的存放路径
区块链密码学技术学习-信封加密
chengxuya的博客
11-10 528
非对称加密的安全性高于对称加密,但是加解密所用的时间和资源消耗都是对称加密难以想象的。因此,信封加密技术是信息在网络间传输尤其是物联网环境内安全流动的重要技术。 如下图所示,该技术的核心是采用对称加密进行明文到密文的加密,转而使用接收方 B 的公钥对该对称密钥进行二次加密。在 B 收到信封后,首先通过非对称解密操作得到对称密钥,再通过对称密钥进行消息的解密操作。 信封加密具有以下优点: 1)技术成熟:各大企业都在用(如 key_center 保存的 envelope_pk),这种是中心化的,我们将
SDK、信封加密、MurmurHash3、base64 编码
zhengzaifeidelushang的博客
06-21 546
基础概念理解
加密/解密--数字信封/数字签名/数字证书
嘿嘿嘿
05-09 1048
加密加密就是对原来为明文的文件或数据按某种算法进行处理,使其成为一 段不可读的代码,通常称为 “密文”。从而达到保护数据不被非法窃取的目的。
一套公私钥加解密信封加密流程(与HTTPS类似,证书即公钥 RSA 服务器生成,浏览器生成随机AES秘钥)
cainiao1923的博客
11-15 724
服务端生成RSA公钥 以及有效期, 放在redis里。会每天变化 前端获取他们 ,再生成随机AES秘钥 加密数据,再用公钥加密AES秘钥,把加密后的数据, 以及有效期请求后台。 服务端先获取当前redis里的公钥有效期,如果不等于传来的有效期,证明过期了。 否则, 服务端用RSA私钥解密AES,再用AES解密数据。 简单流程:后端生成一对公私钥,前端公钥加密,后端私钥解密。 过期简单来说, ...
数字信封工作原理
热门推荐
王达专栏
09-22 3万+
数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据,其目的是用来确保对称密钥传输的安全性。采用数字信封时,接收方需要使用自己的私钥才能打开数字信封得到对称密钥。       数字信封的加/解密过程如图1-19所示。甲也要事先获得乙的公钥,具体说明如下(对应图中的数字序号): 图1-19  数字信封的加解密过程示意图 (1)甲使用对称密钥对明文进行加密,生成密文信息。 (2
RSA+AES数字信封解密设计
胡汉三
07-07 2030
登录认证、鉴权这些都做好了过后。就开始我们的加密设计了、这里采用了简化数字信封进行加密。首先客户端(浏览器)先请求一份RSA非对称密钥、如果我们采用了openresty或者有能力在nginx开发C模块的插件,就可以在这里保留一份用户的私钥,如果不行就直接在应用网关上面保存(也可以在应用网关直接读取redis获得);然后在浏览器发起请求的时候、请求体加密时本地自己生成AES密钥、在使用获得的公钥对AES密钥进行一次加密加密结果放在请求头中),最后将请求发送到后端。后端先使用RSA的私钥解密请求头中的AES加
java数字信封加密
06-01
Java数字信封加密的步骤如下: 1. 生成发送方的公钥和私钥。可以使用Java中的KeyPairGenerator类生成密钥对。 ```java KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA"); keyPairGen....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值